AccessandInformationFlowControls第9章：訪問(wèn)控制和系統(tǒng)審計(jì)AccessandInformationFlowCo1經(jīng)典安全模型的雛形經(jīng)典安全模型的雛形2基本組成要素（1）明確定義的主體和客體；（2）描述主體如何訪問(wèn)客體的一個(gè)授權(quán)數(shù)據(jù)庫(kù)；（3）約束主體對(duì)客體訪問(wèn)嘗試的參考監(jiān)視器；（4）識(shí)別和驗(yàn)證主體和客體的可信子系統(tǒng)；（5）審計(jì)參考監(jiān)視器活動(dòng)的可信子系統(tǒng)。基本組成要素（1）明確定義的主體和客體；3三種安全機(jī)制的關(guān)系三種安全機(jī)制的關(guān)系4計(jì)算機(jī)安全等級(jí)劃分為了加強(qiáng)計(jì)算機(jī)系統(tǒng)的信息安全，1985年美國(guó)國(guó)防部發(fā)表了《可信計(jì)算機(jī)評(píng)估準(zhǔn)則》（縮寫(xiě)為T(mén)CSEC），它依據(jù)處理的信息等級(jí)采取的相應(yīng)對(duì)策，劃分了4類7個(gè)安全等級(jí)。依照各類、級(jí)的安全要求從低到高，依次是D、C1、C2、B1、B2、B3和A1級(jí)計(jì)算機(jī)安全等級(jí)劃分為了加強(qiáng)計(jì)算機(jī)系統(tǒng)的信息安全，1985年美5計(jì)算機(jī)安全等級(jí)劃分D級(jí)：（MinimalProtection）最低安全保護(hù)。沒(méi)有任何安全性防護(hù)。C1級(jí)：（DiscretionarySecurityProtection）自主安全保護(hù)。這一級(jí)的系統(tǒng)必須對(duì)所有的用戶進(jìn)行分組；對(duì)于每個(gè)用戶必須注冊(cè)后才能使用；系統(tǒng)必須記錄每個(gè)用戶的注冊(cè)活動(dòng)；系統(tǒng)對(duì)可能破壞自身的操作發(fā)出警告。計(jì)算機(jī)安全等級(jí)劃分D級(jí)：（MinimalProtecti6計(jì)算機(jī)安全等級(jí)劃分C2級(jí)：（ControledAccessProtection）可控訪問(wèn)保護(hù)。在C1級(jí)基礎(chǔ)上，增加了以下要求：所有的客體都只有一個(gè)主體；對(duì)于每個(gè)試圖訪問(wèn)客體的操作，都必須檢驗(yàn)權(quán)限；有且僅有主體和主體指定的用戶可以更改權(quán)限；管理員可以取得客體的所有權(quán)，但不能再歸還；系統(tǒng)必須保證自身不能被管理員以外的用戶改變；系統(tǒng)必須有能力對(duì)所有的操作進(jìn)行記錄，并且只有管理員和由管理員指定的用戶可以訪問(wèn)該記錄。SCOUNIX和WindowsNT屬于C2級(jí)計(jì)算機(jī)安全等級(jí)劃分C2級(jí)：（ControledAccess7計(jì)算機(jī)安全等級(jí)劃分B1級(jí)：（LabeledSecurityProtection）標(biāo)識(shí)的安全保護(hù)。增加：不同的組成員不能訪問(wèn)對(duì)方創(chuàng)建的客體，但管理員許可的除外；管理員不能取得客體的所有權(quán)。WindowsNT的定制版本可以達(dá)到B1級(jí)。計(jì)算機(jī)安全等級(jí)劃分B1級(jí)：（LabeledSecurity8計(jì)算機(jī)安全等級(jí)劃分B2級(jí)：（StructuredProtection）結(jié)構(gòu)化保護(hù)。增加：所有的用戶都被授予一個(gè)安全等級(jí)；安全等級(jí)較低的用戶不能訪問(wèn)高等級(jí)用戶創(chuàng)建的客體。銀行的金融系統(tǒng)通常達(dá)到B2級(jí)。計(jì)算機(jī)安全等級(jí)劃分B2級(jí)：（StructuredProte9計(jì)算機(jī)安全等級(jí)劃分B3級(jí)：（SecurityDomain）安全域保護(hù)。增加：系統(tǒng)有自己的執(zhí)行域，不受外界干擾或篡改。系統(tǒng)進(jìn)程運(yùn)行在不同的地址空間從而實(shí)現(xiàn)隔離。計(jì)算機(jī)安全等級(jí)劃分B3級(jí)：（SecurityDomain）10計(jì)算機(jī)安全等級(jí)劃分A1級(jí)：（VerifiedDesign）可驗(yàn)證設(shè)計(jì)。在B3的基礎(chǔ)上，增加：系統(tǒng)的整體安全策略一經(jīng)建立便不能修改。計(jì)算機(jī)安全等級(jí)劃分A1級(jí)：（VerifiedDesign）11AccessControlgivensystemhasidentifiedauserdeterminewhatresourcestheycanaccessgeneralmodelisthatofaccessmatrixwithsubject-activeentity(user,process)object-passiveentity(fileorresource)accessright–wayobjectcanbeaccessedcandecomposebycolumnsasaccesscontrollistsrowsascapabilityticketsAccessControlgivensystemhas12AccessControlMatrixObjectSubjectFile1File2File3File4File5printerdiskUser1ReadWriteReadWriteWriteUser2ReadWriteReadListWriteUser3ReadWriteExecuteWriteReadWriteAccessControlMatrixObjectFil13AccessModesReadallowstheusertoreadthefileorviewthefileattributes.Writeallowstheusertowritetothefile,whichmayincludecreating,modifying,orappendingontothefile.Executetheusermayloadthefileandexecuteit.Deletetheusermayremovethisfilefromthesystem.Listallowstheusertoviewthefile’sattributes.AccessModesReadallowstheus14AccessControlTechniquesFilePasswordsDiscretionaryAccessControlsMandatoryAccessControlsRole-BasedAccessControlsAccessControlTechniquesFile15FilePasswordsInordertogainaccesstoafile,theusermustpresentthesystemwiththefile’spassword.Differenttopasswordusedtogainaccesstothesystem.Eachfileisassigneda(multiple)password(s).Assignmentsystemmanagerortheownerofthefile.Forexample:oneforreading,oneforwriting.FilePasswordsInordertogain16FilePasswordsEasytoimplementandunderstand.Problem:1:passwordsthemselves,alargenumberofpasswordstoremember.2:noeasywaytokeeptrackofwhohasaccesstoafile.3:afilerequiresaccesstootherfiles.EmbedthepasswordsSpecifyallfilepasswordsupfrontSupplythepasswordforeachadditionalfileFilePasswordsEasytoimplemen17DiscretionaryAccessControls自主訪問(wèn)控制任意訪問(wèn)控制：根據(jù)主體身份或者主體所屬組的身份或者二者的結(jié)合,對(duì)客體訪問(wèn)進(jìn)行限制的一種方法。最常用的一種方法，這種方法允許用戶自主地在系統(tǒng)中規(guī)定誰(shuí)可以存取它的資源實(shí)體，即用戶（包括用戶程序和用戶進(jìn)程）可選擇同其他用戶一起共享某個(gè)文件。自主：指具有授與某種訪問(wèn)權(quán)力的主體能夠自己決定是否將訪問(wèn)權(quán)限授予其他的主體。安全操作系統(tǒng)需要具備的特征之一就是自主訪問(wèn)控制，它基于對(duì)主體或主體所屬的主體組的識(shí)別來(lái)限制對(duì)客體的存取。客體：文件，郵箱、通信信道、終端設(shè)備等。DiscretionaryAccessControls自18FilepermissionsFilepermissions19方法1：Directorylist為每一個(gè)欲實(shí)施訪問(wèn)操作的主體，建立一個(gè)能被其訪問(wèn)的“客體目錄表（文件目錄表）”方法1：Directorylist為每一個(gè)欲實(shí)施訪問(wèn)操作的20DiscretionaryAccessControls

:AccessControlListsObjectSubjectFile1File2File3File4File5printerdiskUser1ReadWriteReadWriteWriteUser2ReadWriteReadListWriteUser3ReadWriteExecuteWriteReadWriteDiscretionaryAccessControls

21AccessControlLists<jane.pay,rw><john.acct,r>AccessControlLists<jane.pay,22DiscretionaryAccessControls

:AccessControlListsDiscretionaryAccessControls

23DiscretionaryAccessControls

:AccessControlListsItiseasytodeterminealistofallsubjectsgrantedaccesstoaspecificobject.Theeasewithwhichaccesscanberevoked.Storagespaceissaved.Implementfinegranularity:time,location…Difficultyinlistingallobjectsaspecificsubjecthasaccessto.DiscretionaryAccessControls

24DiscretionaryAccessControls

:CapabilitiesBasedObjectSubjectFile1File2File3File4File5printerdiskUser1ReadWriteReadWriteWriteUser2ReadWriteReadListWriteUser3ReadWriteExecuteWriteReadWriteDiscretionaryAccessControls

25DiscretionaryAccessControls

:CapabilitiesBased(Ticket)Ticketpossessedbythesubjectwhichwillgrantaspecifiedmodeofaccessforaspecificobject.Thesystemmaintainsalistoftheseticketsforeachsubject.Passingcopiesoftheticket==giveaccesstoanobjecttoanotheruser.Revokeaccesstofilesbyrecallingthetickets.DiscretionaryAccessControls

26MandatoryAccessControls根據(jù)客體中信息的敏感標(biāo)記和訪問(wèn)敏感信息的主體的訪問(wèn)級(jí)對(duì)客體訪問(wèn)實(shí)行限制用戶的權(quán)限和客體的安全屬性都是固定的所謂“強(qiáng)制”就是安全屬性由系統(tǒng)管理員人為設(shè)置，或由操作系統(tǒng)自動(dòng)地按照嚴(yán)格的安全策略與規(guī)則進(jìn)行設(shè)置，用戶和他們的進(jìn)程不能修改這些屬性。所謂“強(qiáng)制訪問(wèn)控制”是指訪問(wèn)發(fā)生前，系統(tǒng)通過(guò)比較主體和客體的安全屬性來(lái)決定主體能否以他所希望的模式訪問(wèn)一個(gè)客體。MandatoryAccessControls根據(jù)客體中27SensitivityLabelSECRET[VENUS,TANK,ALPHA]Classification

categoriesSensitivityLabelSECRET[VEN28MandatoryAccessControls在強(qiáng)制訪問(wèn)控制中，它將每個(gè)用戶及文件賦于一個(gè)訪問(wèn)級(jí)別，如：絕密級(jí)（TopSecret）、機(jī)密級(jí)（Secret）、秘密級(jí)（Confidential）及普通級(jí)（Unclassified）。其級(jí)別為T(mén)>Ｓ>Ｃ>Ｕ，實(shí)現(xiàn)四種訪問(wèn)控制讀寫(xiě)關(guān)系：下讀(readdown)：用戶級(jí)別大于文件級(jí)別的讀操作；上寫(xiě)(Writeup)：用戶級(jí)別低于文件級(jí)別的寫(xiě)操作；下寫(xiě)(Writedown)：用戶級(jí)別大于文件級(jí)別的寫(xiě)操作；上讀(readup)：用戶級(jí)別低于文件級(jí)別的讀操作；MandatoryAccessControls在強(qiáng)制訪問(wèn)29Rules三個(gè)因素主體的標(biāo)簽，即你的安全許可TOPSECRET[VENUSTANKALPHA]客體的標(biāo)簽，例如文件LOGISTIC的敏感標(biāo)簽如下：SECRET[VENUSALPHA]訪問(wèn)請(qǐng)求，例如你試圖讀該文件Rules三個(gè)因素主體的標(biāo)簽，即你的安全許可30examplesexamples31Role-BasedAccessControls授權(quán)給用戶的訪問(wèn)權(quán)限，通常由用戶在一個(gè)組織中擔(dān)當(dāng)?shù)慕巧珌?lái)確定?！敖巧敝敢粋€(gè)或一群用戶在組織內(nèi)可執(zhí)行的操作的集合。角色就充當(dāng)著主體（用戶）和客體之間的關(guān)聯(lián)的橋梁。這是與傳統(tǒng)的訪問(wèn)控制策略的最大的區(qū)別所在。主體角色客體Role-BasedAccessControls授權(quán)給用32FEATURES:以角色作為訪問(wèn)控制的主體用戶以什么樣的角色對(duì)資源進(jìn)行訪問(wèn)，決定了用戶擁有的權(quán)限以及可執(zhí)行何種操作。

角色繼承最小權(quán)限原則一方面給予主體“必不可少”的特權(quán)；另一方面，它只給予主體“必不可少”的特權(quán)。FEATURES:以角色作為訪問(wèn)控制的主體33FEATURES職責(zé)分離?對(duì)于某些特定的操作集，某一個(gè)角色或用戶不可能同時(shí)獨(dú)立地完成所有這些操作?！奥氊?zé)分離”可以有靜態(tài)和動(dòng)態(tài)兩種實(shí)現(xiàn)方式。靜態(tài)職責(zé)分離：只有當(dāng)一個(gè)角色與用戶所屬的其它角色彼此不互斥時(shí)，這個(gè)角色才能授權(quán)給該用戶。動(dòng)態(tài)職責(zé)分離：只有當(dāng)一個(gè)角色與一主體的任何一個(gè)當(dāng)前活躍角色都不互斥時(shí)，該角色才能成為該主體的另一個(gè)活躍角色。角色容量在創(chuàng)建新的角色時(shí)，要指定角色的容量。在一個(gè)特定的時(shí)間段內(nèi)，有一些角色只能由一定人數(shù)的用戶占用。FEATURES職責(zé)分離?34系統(tǒng)審計(jì)系統(tǒng)審計(jì)35TrustedComputerSystemsinformationsecurityisincreasinglyimportanthavevaryingdegreesofsensitivityofinformationcfmilitaryinfoclassifications:confidential,secretetcsubjects(peopleorprograms)havevaryingrightsofaccesstoobjects(information)wanttoconsiderwaysofincreasingconfidenceinsystemstoenforcetheserightsknownasmultilevelsecuritysubjectshavemaximum¤tsecuritylevelobjectshaveafixedsecuritylevelclassification

可信計(jì)算機(jī)系統(tǒng)TrustedComputerSystemsinform36BellLaPadula(BLP)Modeloneofthemostfamoussecuritymodelsimplementedasmandatorypoliciesonsystemhastwokeypolicies:noreadup(simplesecurityproperty)asubjectcanonlyread/writeanobjectifthecurrentsecuritylevelofthesubjectdominates(>=)theclassificationoftheobjectnowritedown(*-property)asubjectcanonlyappend/writetoanobjectifthecurrentsecuritylevelofthesubjectisdominatedby(<=)theclassificationoftheobjectBellLaPadula(BLP)Modeloneo37ReferenceMonitorCompletemediationIsolationVerifiabilityReferenceMonitorCompletemedi38TheConceptof

TrustedSystemsReferenceMonitorControllingelementinthehardwareandoperatingsystemofacomputerthatregulatestheaccessofsubjectstoobjectsonbasisofsecurityparametersThemonitorhasaccesstoafile(securitykerneldatabase)Themonitorenforcesthesecurityrules(noreadup,nowritedown)TheConceptof

TrustedSystems39TheConceptof

TrustedSystemsPropertiesoftheReferenceMonitorCompletemediation:SecurityrulesareenforcedoneveryaccessIsolation:ThereferencemonitoranddatabaseareprotectedfromunauthorizedmodificationVerifiability:Thereferencemonitor’scorrectnessmustbeprovable(mathematically)TheConceptof

TrustedSystems40TheConceptof

TrustedSystemsAsystemthatcanprovidesuchverifications(properties)isreferredtoasatrustedsystemThatis,itmustbepossibletodemonstratemathematicallythatthereferencemonitorenforcesthesecurityrulesandprovidescompletemediationandisolation.TheConceptof

TrustedSystems41EvaluatedComputerSystemsgovernmentscanevaluateITsystemsagainstarangeofstandards:TCSEC,IPSECandnowCommonCriteriadefineanumberof“l(fā)evels”ofevaluationwithincreasinglystringentcheckinghavepublishedlistsofevaluatedproductsthoughaimedatgovernment/defenseusecanbeusefulinindustryalsoEvaluatedComputerSystemsgove42TrojanHorseDefense用戶Bob通過(guò)Program與敏感數(shù)據(jù)文件交互TrojanHorseDefense用戶Bob通過(guò)Pro43TrojanHorseDefenseTrojanHorseDefense44TrojanHorseDefenseTrojanHorseDefense45TrojanHorseDefenseTrojanHorseDefense46審計(jì)（Audit）是指產(chǎn)生、記錄并檢查按時(shí)間順序排列的系統(tǒng)事件記錄的過(guò)程。它是一個(gè)被信任的機(jī)制，TCB的一部分。同時(shí)它也是計(jì)算機(jī)系統(tǒng)安全機(jī)制的一個(gè)不可或缺的部分，對(duì)于C2及以上安全級(jí)別的計(jì)算機(jī)系統(tǒng)來(lái)講，審計(jì)功能是其必備的安全機(jī)制。而且審計(jì)是其它安全機(jī)制的有力補(bǔ)充，它貫穿計(jì)算機(jī)安全機(jī)制實(shí)現(xiàn)的整個(gè)過(guò)程，從身份認(rèn)證到訪問(wèn)控制這些都離不開(kāi)審計(jì)。同時(shí)審計(jì)還是后來(lái)人們研究的入侵檢測(cè)系統(tǒng)的前提。審計(jì)（Audit）是指產(chǎn)生、記錄并檢查按時(shí)間順序排列的系統(tǒng)事47AccessandInformationFlowControls第9章：訪問(wèn)控制和系統(tǒng)審計(jì)AccessandInformationFlowCo48經(jīng)典安全模型的雛形經(jīng)典安全模型的雛形49基本組成要素（1）明確定義的主體和客體；（2）描述主體如何訪問(wèn)客體的一個(gè)授權(quán)數(shù)據(jù)庫(kù)；（3）約束主體對(duì)客體訪問(wèn)嘗試的參考監(jiān)視器；（4）識(shí)別和驗(yàn)證主體和客體的可信子系統(tǒng)；（5）審計(jì)參考監(jiān)視器活動(dòng)的可信子系統(tǒng)。基本組成要素（1）明確定義的主體和客體；50三種安全機(jī)制的關(guān)系三種安全機(jī)制的關(guān)系51計(jì)算機(jī)安全等級(jí)劃分為了加強(qiáng)計(jì)算機(jī)系統(tǒng)的信息安全，1985年美國(guó)國(guó)防部發(fā)表了《可信計(jì)算機(jī)評(píng)估準(zhǔn)則》（縮寫(xiě)為T(mén)CSEC），它依據(jù)處理的信息等級(jí)采取的相應(yīng)對(duì)策，劃分了4類7個(gè)安全等級(jí)。依照各類、級(jí)的安全要求從低到高，依次是D、C1、C2、B1、B2、B3和A1級(jí)計(jì)算機(jī)安全等級(jí)劃分為了加強(qiáng)計(jì)算機(jī)系統(tǒng)的信息安全，1985年美52計(jì)算機(jī)安全等級(jí)劃分D級(jí)：（MinimalProtection）最低安全保護(hù)。沒(méi)有任何安全性防護(hù)。C1級(jí)：（DiscretionarySecurityProtection）自主安全保護(hù)。這一級(jí)的系統(tǒng)必須對(duì)所有的用戶進(jìn)行分組；對(duì)于每個(gè)用戶必須注冊(cè)后才能使用；系統(tǒng)必須記錄每個(gè)用戶的注冊(cè)活動(dòng)；系統(tǒng)對(duì)可能破壞自身的操作發(fā)出警告。計(jì)算機(jī)安全等級(jí)劃分D級(jí)：（MinimalProtecti53計(jì)算機(jī)安全等級(jí)劃分C2級(jí)：（ControledAccessProtection）可控訪問(wèn)保護(hù)。在C1級(jí)基礎(chǔ)上，增加了以下要求：所有的客體都只有一個(gè)主體；對(duì)于每個(gè)試圖訪問(wèn)客體的操作，都必須檢驗(yàn)權(quán)限；有且僅有主體和主體指定的用戶可以更改權(quán)限；管理員可以取得客體的所有權(quán)，但不能再歸還；系統(tǒng)必須保證自身不能被管理員以外的用戶改變；系統(tǒng)必須有能力對(duì)所有的操作進(jìn)行記錄，并且只有管理員和由管理員指定的用戶可以訪問(wèn)該記錄。SCOUNIX和WindowsNT屬于C2級(jí)計(jì)算機(jī)安全等級(jí)劃分C2級(jí)：（ControledAccess54計(jì)算機(jī)安全等級(jí)劃分B1級(jí)：（LabeledSecurityProtection）標(biāo)識(shí)的安全保護(hù)。增加：不同的組成員不能訪問(wèn)對(duì)方創(chuàng)建的客體，但管理員許可的除外；管理員不能取得客體的所有權(quán)。WindowsNT的定制版本可以達(dá)到B1級(jí)。計(jì)算機(jī)安全等級(jí)劃分B1級(jí)：（LabeledSecurity55計(jì)算機(jī)安全等級(jí)劃分B2級(jí)：（StructuredProtection）結(jié)構(gòu)化保護(hù)。增加：所有的用戶都被授予一個(gè)安全等級(jí)；安全等級(jí)較低的用戶不能訪問(wèn)高等級(jí)用戶創(chuàng)建的客體。銀行的金融系統(tǒng)通常達(dá)到B2級(jí)。計(jì)算機(jī)安全等級(jí)劃分B2級(jí)：（StructuredProte56計(jì)算機(jī)安全等級(jí)劃分B3級(jí)：（SecurityDomain）安全域保護(hù)。增加：系統(tǒng)有自己的執(zhí)行域，不受外界干擾或篡改。系統(tǒng)進(jìn)程運(yùn)行在不同的地址空間從而實(shí)現(xiàn)隔離。計(jì)算機(jī)安全等級(jí)劃分B3級(jí)：（SecurityDomain）57計(jì)算機(jī)安全等級(jí)劃分A1級(jí)：（VerifiedDesign）可驗(yàn)證設(shè)計(jì)。在B3的基礎(chǔ)上，增加：系統(tǒng)的整體安全策略一經(jīng)建立便不能修改。計(jì)算機(jī)安全等級(jí)劃分A1級(jí)：（VerifiedDesign）58AccessControlgivensystemhasidentifiedauserdeterminewhatresourcestheycanaccessgeneralmodelisthatofaccessmatrixwithsubject-activeentity(user,process)object-passiveentity(fileorresource)accessright–wayobjectcanbeaccessedcandecomposebycolumnsasaccesscontrollistsrowsascapabilityticketsAccessControlgivensystemhas59AccessControlMatrixObjectSubjectFile1File2File3File4File5printerdiskUser1ReadWriteReadWriteWriteUser2ReadWriteReadListWriteUser3ReadWriteExecuteWriteReadWriteAccessControlMatrixObjectFil60AccessModesReadallowstheusertoreadthefileorviewthefileattributes.Writeallowstheusertowritetothefile,whichmayincludecreating,modifying,orappendingontothefile.Executetheusermayloadthefileandexecuteit.Deletetheusermayremovethisfilefromthesystem.Listallowstheusertoviewthefile’sattributes.AccessModesReadallowstheus61AccessControlTechniquesFilePasswordsDiscretionaryAccessControlsMandatoryAccessControlsRole-BasedAccessControlsAccessControlTechniquesFile62FilePasswordsInordertogainaccesstoafile,theusermustpresentthesystemwiththefile’spassword.Differenttopasswordusedtogainaccesstothesystem.Eachfileisassigneda(multiple)password(s).Assignmentsystemmanagerortheownerofthefile.Forexample:oneforreading,oneforwriting.FilePasswordsInordertogain63FilePasswordsEasytoimplementandunderstand.Problem:1:passwordsthemselves,alargenumberofpasswordstoremember.2:noeasywaytokeeptrackofwhohasaccesstoafile.3:afilerequiresaccesstootherfiles.EmbedthepasswordsSpecifyallfilepasswordsupfrontSupplythepasswordforeachadditionalfileFilePasswordsEasytoimplemen64DiscretionaryAccessControls自主訪問(wèn)控制任意訪問(wèn)控制：根據(jù)主體身份或者主體所屬組的身份或者二者的結(jié)合,對(duì)客體訪問(wèn)進(jìn)行限制的一種方法。最常用的一種方法，這種方法允許用戶自主地在系統(tǒng)中規(guī)定誰(shuí)可以存取它的資源實(shí)體，即用戶（包括用戶程序和用戶進(jìn)程）可選擇同其他用戶一起共享某個(gè)文件。自主：指具有授與某種訪問(wèn)權(quán)力的主體能夠自己決定是否將訪問(wèn)權(quán)限授予其他的主體。安全操作系統(tǒng)需要具備的特征之一就是自主訪問(wèn)控制，它基于對(duì)主體或主體所屬的主體組的識(shí)別來(lái)限制對(duì)客體的存取。客體：文件，郵箱、通信信道、終端設(shè)備等。DiscretionaryAccessControls自65FilepermissionsFilepermissions66方法1：Directorylist為每一個(gè)欲實(shí)施訪問(wèn)操作的主體，建立一個(gè)能被其訪問(wèn)的“客體目錄表（文件目錄表）”方法1：Directorylist為每一個(gè)欲實(shí)施訪問(wèn)操作的67DiscretionaryAccessControls

:AccessControlListsObjectSubjectFile1File2File3File4File5printerdiskUser1ReadWriteReadWriteWriteUser2ReadWriteReadListWriteUser3ReadWriteExecuteWriteReadWriteDiscretionaryAccessControls

68AccessControlLists<jane.pay,rw><john.acct,r>AccessControlLists<jane.pay,69DiscretionaryAccessControls

:AccessControlListsDiscretionaryAccessControls

70DiscretionaryAccessControls

:AccessControlListsItiseasytodeterminealistofallsubjectsgrantedaccesstoaspecificobject.Theeasewithwhichaccesscanberevoked.Storagespaceissaved.Implementfinegranularity:time,location…Difficultyinlistingallobjectsaspecificsubjecthasaccessto.DiscretionaryAccessControls

71DiscretionaryAccessControls

:CapabilitiesBasedObjectSubjectFile1File2File3File4File5printerdiskUser1ReadWriteReadWriteWriteUser2ReadWriteReadListWriteUser3ReadWriteExecuteWriteReadWriteDiscretionaryAccessControls

72DiscretionaryAccessControls

:CapabilitiesBased(Ticket)Ticketpossessedbythesubjectwhichwillgrantaspecifiedmodeofaccessforaspecificobject.Thesystemmaintainsalistoftheseticketsforeachsubject.Passingcopiesoftheticket==giveaccesstoanobjecttoanotheruser.Revokeaccesstofilesbyrecallingthetickets.DiscretionaryAccessControls

73MandatoryAccessControls根據(jù)客體中信息的敏感標(biāo)記和訪問(wèn)敏感信息的主體的訪問(wèn)級(jí)對(duì)客體訪問(wèn)實(shí)行限制用戶的權(quán)限和客體的安全屬性都是固定的所謂“強(qiáng)制”就是安全屬性由系統(tǒng)管理員人為設(shè)置，或由操作系統(tǒng)自動(dòng)地按照嚴(yán)格的安全策略與規(guī)則進(jìn)行設(shè)置，用戶和他們的進(jìn)程不能修改這些屬性。所謂“強(qiáng)制訪問(wèn)控制”是指訪問(wèn)發(fā)生前，系統(tǒng)通過(guò)比較主體和客體的安全屬性來(lái)決定主體能否以他所希望的模式訪問(wèn)一個(gè)客體。MandatoryAccessControls根據(jù)客體中74SensitivityLabelSECRET[VENUS,TANK,ALPHA]Classification

categoriesSensitivityLabelSECRET[VEN75MandatoryAccessControls在強(qiáng)制訪問(wèn)控制中，它將每個(gè)用戶及文件賦于一個(gè)訪問(wèn)級(jí)別，如：絕密級(jí)（TopSecret）、機(jī)密級(jí)（Secret）、秘密級(jí)（Confidential）及普通級(jí)（Unclassified）。其級(jí)別為T(mén)>Ｓ>Ｃ>Ｕ，實(shí)現(xiàn)四種訪問(wèn)控制讀寫(xiě)關(guān)系：下讀(readdown)：用戶級(jí)別大于文件級(jí)別的讀操作；上寫(xiě)(Writeup)：用戶級(jí)別低于文件級(jí)別的寫(xiě)操作；下寫(xiě)(Writedown)：用戶級(jí)別大于文件級(jí)別的寫(xiě)操作；上讀(readup)：用戶級(jí)別低于文件級(jí)別的讀操作；MandatoryAccessControls在強(qiáng)制訪問(wèn)76Rules三個(gè)因素主體的標(biāo)簽，即你的安全許可TOPSECRET[VENUSTANKALPHA]客體的標(biāo)簽，例如文件LOGISTIC的敏感標(biāo)簽如下：SECRET[VENUSALPHA]訪問(wèn)請(qǐng)求，例如你試圖讀該文件Rules三個(gè)因素主體的標(biāo)簽，即你的安全許可77examplesexamples78Role-BasedAccessControls授權(quán)給用戶的訪問(wèn)權(quán)限，通常由用戶在一個(gè)組織中擔(dān)當(dāng)?shù)慕巧珌?lái)確定?！敖巧敝敢粋€(gè)或一群用戶在組織內(nèi)可執(zhí)行的操作的集合。角色就充當(dāng)著主體（用戶）和客體之間的關(guān)聯(lián)的橋梁。這是與傳統(tǒng)的訪問(wèn)控制策略的最大的區(qū)別所在。主體角色客體Role-BasedAccessControls授權(quán)給用79FEATURES:以角色作為訪問(wèn)控制的主體用戶以什么樣的角色對(duì)資源進(jìn)行訪問(wèn)，決定了用戶擁有的權(quán)限以及可執(zhí)行何種操作。

角色繼承最小權(quán)限原則一方面給予主體“必不可少”的特權(quán)；另一方面，它只給予主體“必不可少”的特權(quán)。FEATURES:以角色作為訪問(wèn)控制的主體80FEATURES職責(zé)分離?對(duì)于某些特定的操作集，某一個(gè)角色或用戶不可能同時(shí)獨(dú)立地完成所有這些操作?！奥氊?zé)分離”可以有靜態(tài)和動(dòng)態(tài)兩種實(shí)現(xiàn)方式。靜態(tài)職責(zé)分離：只有當(dāng)一個(gè)角色與用戶所屬的其它角色彼此不互斥時(shí)，這個(gè)角色才能授權(quán)給該用戶。動(dòng)態(tài)職責(zé)分離：只有當(dāng)一個(gè)角色與一主體的任何一個(gè)當(dāng)前活躍角色都不互斥時(shí)，該角色才能成為該主體的另一個(gè)活躍角色。角色容量在創(chuàng)建新的角色時(shí)，要指定角色的容量。在一個(gè)特定的時(shí)間段內(nèi)，有一些角色只能由一定人數(shù)的用戶占用。FEATURES職責(zé)分離?81系統(tǒng)審計(jì)系統(tǒng)審計(jì)82TrustedComputerSystemsinformationsecurityisincreasinglyimportanthavevaryingdegreesofsensitivityofinformationcfmilitaryinfoclassifications:confidential,secretetcsubjects(peopleorprograms)havevaryingrightsofaccesstoobjects(information)wanttoconsiderwaysofincreasingconfidenceinsystemstoenforcetheserightsknownasmultilevelsecuritysubjectshavemaximum¤tsecuritylevelobjectshaveafixedsecuritylevelclassification

可信計(jì)算機(jī)系統(tǒng)TrustedComputerSystemsinform83BellLaPadula(BLP)Modeloneofthemostfamoussecuritymodelsimplementedasmandatorypoliciesonsystemhastwokeypolicies:noreadup(simplesecurityproperty)asubjectcanonlyread/writeanobjectifthecurrentsecuritylevelofthesubjectdominates(>=)theclassificationoftheobjectnowritedown(*-property)asubjectcanonlyappend/writetoanobjectifthecurrentsecuritylevelofthesubjectisdominatedby(<=)theclassificationoftheobjectBellLaPadula(BLP)Modeloneo84ReferenceMon